AI-risikostyring er ikke som annen risiko – slik tenker ISO 42001

Mange virksomheter har allerede etablerte prosesser for risikostyring. De identifiserer risikoer, vurderer sannsynlighet og konsekvens, implementerer tiltak og følger opp gjennom revisjoner og ledelsens gjennomgang. 

Men kunstig intelligens utfordrer flere av antakelsene tradisjonell risikostyring bygger på. 

Det er nettopp derfor ISO 42001 legger så stor vekt på AI-risikostyring. Standarden bygger på kjente prinsipper fra ledelsessystemer, men erkjenner samtidig at AI introduserer risikofaktorer som mange virksomheter ikke tidligere har håndtert. 

Tradisjonelle IT-systemer gjør som regel det de er programmert til å gjøre. Hvis en regel eller prosess er definert, vil systemet følge den. 

AI-systemer fungerer annerledes. 

De bygger ofte på statistiske modeller som lærer mønstre fra store datamengder. Resultatet er at utfallet ikke alltid er like forutsigbart som i tradisjonell programvare. Systemet kan produsere ulike svar på samme spørsmål, endre atferd over tid eller trekke konklusjoner som er vanskelige å forklare fullt ut. 

Det betyr ikke at AI nødvendigvis er farlig. Men det betyr at risikoen må vurderes på en annen måte. 

Når ledere tenker på teknologirisiko, handler det ofte om tilgjengelighet, sikkerhet og databeskyttelse. 

For AI er dette fortsatt viktig, men risikobildet er bredere. 

Virksomheter må også vurdere spørsmål som: 

• Kan AI-modellen gi feil eller misvisende svar?  
• Kan den introdusere skjevheter eller diskriminering?  
• Kan ansatte bli for avhengige av AI-genererte anbefalinger?  
• Er det tydelig hvem som har ansvar når AI brukes i beslutningsprosesser?  
• Kan systemet brukes på måter det opprinnelig ikke var tiltenkt?  

Dette er risikoer som ofte påvirker mennesker, virksomhetsprosesser, omdømme og etterlevelse av regelverk minst like mye som teknologien selv. 

En annen viktig forskjell er at AI-risiko sjelden er statisk. 

En maskin på fabrikkgulvet fungerer stort sett likt i morgen som den gjorde i går. Mange AI-løsninger utvikler seg derimot kontinuerlig. 

Datagrunnlag endres. Leverandører oppdaterer modeller. Nye bruksområder oppstår. Ansatte begynner å bruke verktøyene på andre måter enn det som opprinnelig var planlagt. 

Derfor legger ISO 42001 vekt på kontinuerlig overvåkning og evaluering, ikke bare en engangsvurdering før systemet tas i bruk. 

Risikostyring blir en løpende aktivitet. 

Et sentralt prinsipp i ISO 42001 er at risikoen ikke bare ligger i teknologien, men i hvordan teknologien brukes. 

Samme AI-modell kan representere svært ulik risiko avhengig av formålet. 

En chatbot som hjelper ansatte med å skrive utkast til e-poster har et helt annet risikobilde enn et system som brukes som beslutningsstøtte i ansettelser, kredittvurderinger eller helsetjenester. 

Det betyr at god AI-risikostyring krever at virksomheten forstår:

• Hvor AI brukes  
• Hvem som påvirkes av bruken  
• Hvilke beslutninger AI påvirker  
• Hvilke konsekvenser feil kan få  

Dette perspektivet går igjen gjennom hele ISO 42001. 

Et gjennomgående tema i standarden er betydningen av menneskelig kontroll. 

Mange virksomheter innfører AI for å effektivisere arbeidsprosesser, men effektivisering må ikke føre til at ansvar blir uklart. 

Ledere må kunne svare på spørsmål som: 

• Hvem eier prosessen?  
• Hvem godkjenner resultatene?  
• Hvem er ansvarlig dersom noe går galt?  

ISO 42001 legger derfor opp til at virksomheten skal definere roller, ansvar og beslutningsmyndighet knyttet til bruk av AI. 

Teknologien kan støtte mennesker. Den fritar ikke virksomheten for ansvar. 

En av de vanligste feilene virksomheter gjør, er å behandle AI som et rent IT-prosjekt. 

ISO 42001 har et annet perspektiv. 

Standarden plasserer AI inn i virksomhetens eksisterende styringsmodell. AI skal vurderes på samme måte som andre forhold som påvirker virksomhetens mål, risikoeksponering, etterlevelse og omdømme. 

Derfor involverer et AI-styringssystem ofte flere funksjoner enn bare IT: 

• Ledelse  
• Fagavdelinger  
• Compliance og kvalitet  
• Personvern og informasjonssikkerhet  
• HR  
• Risikostyring  

Målet er ikke å kontrollere teknologien i seg selv, men å styre hvordan virksomheten bruker den. 

For ledere som allerede arbeider med kvalitet, internkontroll, informasjonssikkerhet eller compliance, vil mye av tankegangen i ISO 42001 være kjent. 

Det nye er ikke nødvendigvis metodikken. 

Det nye er at AI introduserer risikoer som krever andre vurderinger enn tradisjonelle systemer og prosesser – og at systematisk AI-risikostyring derfor blir en kjernekompetanse for fremtidens virksomheter.

Virksomheter som lykkes med AI de kommende årene vil sannsynligvis være de som klarer å kombinere innovasjon med styring. Ikke fordi regelverket krever det, men fordi tillit, ansvarlighet og kontroll blir stadig viktigere når kunstig intelligens tas i bruk i virksomhetskritiske prosesser. 

Vi hjelper virksomheter med rådgivning, etablering og videreutvikling av styringssystemer for AI. Ta kontakt for å høre hvordan vi kan hjelpe deg!